ar

ما المقصود بتصعيد الامتيازات؟

18 فبراير 2016

Dave Piscitello

بالإضافة الى لغات الأمم المتحدة الست، هذا المحتوى متوفر أيضاً باللغات

null

قمنا في منشوري السابق بفحص التدابير التي تستخدمها المؤسسات من أجل إنفاذ سياسات التوثيق. فالهدف من سياسات التوثيق والطريق التي نستخدمها لإنفاذها - ضوابط الوصول أو تصريحات أو امتيازات المستخدمين - حماية المعلومات الحساسة من الاطلاع غير المرخص عليها أو مشاركتها أو تعديلها أو حذفها. كما يمكن لهذه السياسات أيضًا أن تحمي من التنفيذ غير المرخص للتطبيقات على أي جهاز كمبيوتر.

فأصحاب التصرفات الضارة أو المجرمون أو الجهات المشاركة في التجسس الإلكترون لديهم حافز - سواء مالي أو اجتماعي سياسي أو من أجل التشهير - للتغلب على سياسات التوثيق من أجل الحصول على إمكانية الوصول إلى بيانات الأعمال السرية أو الحساسة، أو الاحتيال على تجار السلع أو سرقة الأموال. وغالبًا ما يبدأ هؤلاء المعتدون من خلال العبث بحسابات المستخدمين. وعوضًا عن ذلك، قد يبحثون عن نقاط الضعف التي يمكنهم استغلالها من أجل الحصول على إمكانية التحكم في نظام كمبيوتر أو تطبيق ما عليه.

فمن خلال هذه المسارات الأولية للاستغلال، يحصل المهاجم على بعض امتيازات الوصول. وبعد ذلك يقوم المهاجم بعد ذلك بسبر النظام الذي عبث به شيئًا فشيئًا من أجل الحصول على المزيد من الامتيازات تفوق ما حصل عليه في البداية، على أمل الوصول إلى المعلومات الحساسة من الحسابات الأخرى، أو حتى الحصول على سيطرة إدارية كاملة على أي نظام. وعندما يقوم المهاجم بتوسيع وصوله الأولي غير المرخص بهذه الطريقة، فإننا نطلق على ما يقوم به لفظ هجوم تصعيد الامتيازات.

تصعيد الامتيازات الأفقي

لنفترض أن أي مهاجم قد حصل على إمكانية الوصول إلى حساب بنكي على الإنترنت. فيسعى إلى سرقة الأموال والمال الذي سرقه من هذا الحساب الواحد لا يكفي. فيسعى لسبر المعلومات أو تجربة أعمال أخرى للحصول على وصول إلى حسابات أخرى. ويطلق على ذلك تصعيد الامتيازات الأفقي بسبب المهاجم يتنقل جانبيًا عبر حسابات ذات امتيازات متشابهة.

كيف يتنقل جانبيًا؟ قد يقوم المهاجم بفحص الروابط التشعبية التي يعيدها البنك بعد تسجيله للدخول من أجل التعرف على ما إذا كانت تكشف أية معلومات حول الطريقة التي يتم بها تنظيم المحتوى في موقع الأعمال المصرفية. وربما يكتشف أن البنك يشفر رقم حساب العميل بطريقة معينة في الروابط التشعبية. وسوف يقوم بتأليف وإدراج الروابط التشعبية إلى موقع الويب من اجل اختبار ما إذا كان أمن النظام البنكي معيب أم لا وما إذا العيب يسمح له إمكانية الاطلاع على بيانات أخرى لحساب العميل أو (الأفضل من ذلك) تحويل الأموال. وإذا ما نجح ذلك، فقد يصل إلى عدة حسابات قبل أن يكتشف البنك أنشطته أو يقوم عميل بالإبلاغ عن عملية سطو. ويطلق على ذلك اسم أسلوب مرجع الهدف المباشر.

تصعيد الامتيازات الرأسي

غالبًا ما يكون لدى المهاجمين هدف متمثل في الحصول على تحكم كامل في جهاز كمبيوتر بحيث يمكنهم تهيئة النظام لأي استخدام يختارونه. وعندما يبدأ المهاجم بحساب مستخدم تم العبث به وتكون له القدرة على توسيع أو تصعيد امتيازات المستخدم الواحد التي لديه إلى حيث يحصل على امتيازات إدارية كاملة أو "الجذر"، فإننا نطلق على هذه الهجمات اسم تصعيد الامتيازات الرأسي.

ولنفترض وجود موقف يحصل فيه المهاجم على وصول غير مرخص إلى حساب مستخدم على نظام كمبيوتر. فسوف يقوم بإجراء استطلاع محلي للتعرف على ما يمكن للمستخدم الضحية القيام به وما هي المعلومات التي يمكنه الاطلاع عليها، ما إذا كان بإمكانه كتابة النصوص أو تجميع البرامج من هذا الحساب، والمزيد. وإذا كانت لديه القدرة على تنزيل وتنفيذ البرمجيات على الكمبيوتر الضحية، فيمكنه تشغيل برمجيات الاستغلال. وسوف يقوم بالبحث إلى أن يعثر على نقطة اختراق أو خطأ في التكوين يمكنه استغلاله من أجل الحصول على صلاحيات مدير النظام على الكمبيوتر المستهدف، أو يترك هذا النظام وينتقل إلى كمبيوتر آخر.

ويمكن للمهاجم اجتياز الوصول إلى المعلومات المحمية أو الحساسة من خلال المسارات البعيدة. على سبيل المثال، من خلال صياغة الاستعلامات بحرص والتي تستغل نقطة ضعف في تطبيق ويب تم نشره على أحد المواقع المستهدفة، يمكن للمهاجم إدراج التعليمات مباشرة إلى تطبيق قاعدة البيانات الخاصة بالموقع والتي تسمح له الوصول ظاهريًا إلى السجلات المحمية أو التخلص من محتويات قاعدة بيانات بالكامل (راجع إدراج SQL). يجب ملاحظة أن للمهاجمين مجموعة هائلة من الأساليب التي يمكنهم تجربتها، إلا أن المهاجمين غالبًا ما يقومون فقط باستغلال تطبيق الويب الذي يفتقر إلى أي توثيق لنوع البيانات التي يقدمها أي مستخدم: في تلك المواقف، يقوم تطبيق الويب بتمرير أي شيء يقوم المهاجم بإدخاله في نموذج طلبات الويب إلى قاعدة البيانات وتقوم قاعدة البيانات بتنفيذ ما تتلقاه، غالبًا مع عواقب وخيمة تشمل إغلاق قاعدة البيانات أو تغيير أو إتلاف البيانات.

قم بشحذ وتعديل عملية التوثيق والتحقق من كافة البيانات!

هناك ثلاثة تعديلات بسيطة من أجل الحد من هجمات تصعيد الامتياز وهي (1) مطالبة مستخدميك أو عملائك باستخدام أقوى طريقة ممكنة للتوثيق، واستخدامها بذكاء (على سبيل المثال، كلمات مرور طويل وقوية ومعقدة)، و(2) إجراء مسح لتطبيقات الويب الخاصة بك للتعرف على نقاط الضعف المعروفة والحد من هجمات الاستغلال، و(3) توثيق البيانات في كل نموذج تقديم يستخدمه موقع الويب الخاص بك. قم بتطبيق هذه التصحيحات وسوف تقلل من تعرّض مؤسستك لهجمات تصعيد الامتيازات.

Dave Piscitello